Nhận diện khuôn mặt, mật khẩu, OTP không còn đủ để chặn lừa đảo: Sẽ có xu hướng xác thực mới "sinh trắc học hành vi"

Theo báo cáo "10 xu hướng nổi bật trong lĩnh vực Fintech và thanh toán năm 2025" của Juniper Research, một trong những hình thức xác thực sinh trắc học phổ biến nhất hiện nay là nhận diện khuôn mặt – một dạng sinh trắc học tĩnh, yêu cầu người dùng thực hiện một phương thức xác thực duy nhất. Khi quá trình này được hoàn tất thành công, người dùng sẽ có quyền truy cập đầy đủ vào tài khoản và thông tin liên kết với trang web hoặc ứng dụng đó. Mặc dù loại xác thực này khá khó để giả mạo, nhưng tội phạm công nghệ luôn sáng tạo và tinh vi trong việc tìm cách vượt qua nó.

Sinh trắc học hành vi: xác thực thụ động, liên tục và thông minh

Sinh trắc học tĩnh khiến việc phát hiện kẻ gian trước khi chúng xâm nhập và gây thiệt hại trở nên đặc biệt khó khăn. Juniper Research cho rằng năm 2025 sẽ chứng kiến việc triển khai rộng rãi sinh trắc học hành vi (behavioural biometrics) – một hình thức xác thực danh tính thụ động, cho phép doanh nghiệp theo dõi liên tục hành vi của người dùng và xác thực liên tục trong suốt quá trình sử dụng. Cách làm này hỗ trợ đáng kể cho nhiệm vụ KYC (Know Your Customer – hiểu khách hàng) và giúp doanh nghiệp phân bổ nhân lực hiệu quả hơn.

Cần lưu ý rằng, loại xác thực này không nên được sử dụng đơn lẻ, bởi hiệu quả bảo mật sẽ thấp hơn. Nó phát huy tối đa tác dụng khi kết hợp với sinh trắc học tĩnh, tạo thành hệ thống xác thực sinh trắc học đa phương thức, kết hợp giữa yếu tố vật lý và hành vi, mang lại mức độ bảo mật vượt trội chưa từng có.

Cả sinh trắc học hành vi chủ động và thụ động đều sử dụng trí tuệ nhân tạo (AI) để tự động hoá quá trình giám sát người dùng và phát hiện các hoạt động đáng ngờ để xem xét. Khi AI ngày càng được ứng dụng rộng rãi trong lĩnh vực fintech, Juniper dự đoán năm 2025 sẽ là thời điểm bùng nổ của các phương pháp sinh trắc học hành vi trong xác thực danh tính và phòng chống gian lận. Nguyên nhân chính là các doanh nghiệp cần tăng cường lớp xác minh bảo mật mà không làm gián đoạn trải nghiệm người dùng hoặc tạo thêm bước rườm rà.

Trải nghiệm “không ma sát” – bảo mật mà người dùng không nhận ra

Người dùng mong muốn có trải nghiệm trực tuyến liền mạch, "không ma sát", và đây là yếu tố doanh nghiệp phải tính đến khi thiết kế hoặc cập nhật biện pháp bảo mật. Giải pháp lý tưởng là sử dụng các biện pháp sinh trắc học hành vi không xâm nhập, áp dụng mức độ xác thực phù hợp với từng người dùng và ngăn chặn gian lận ngay từ đầu, trước khi chúng xâm nhập vào hệ thống. Việc tích hợp cơ chế xác thực thụ động, liên tục vừa đáp ứng nhu cầu trải nghiệm trơn tru của khách hàng, vừa đảm bảo hệ thống luôn cảnh giác trước các nguy cơ gian lận.

Một ví dụ điển hình về xác thực sinh trắc học nâng cao là việc ghi lại và phân tích mẫu hành vi gõ phím và vuốt màn hình của người dùng trên thiết bị. Hệ thống có thể theo dõi tốc độ gõ, lực nhấn phím, hay thói quen di chuyển chuột. Mỗi người đều có một “chữ ký hành vi” riêng biệt, phản ánh cách họ duyệt web hoặc sử dụng ứng dụng.

Nhờ đó, doanh nghiệp có thể phát hiện sớm những hành vi bất thường, chẳng hạn như người khác đang cố gắng đăng nhập trái phép hoặc thao tác khác hẳn với thói quen trước đó. Cách làm này cũng giúp xây dựng nền tảng tin cậy giữa doanh nghiệp và người dùng hợp pháp, vì hệ thống dần “hiểu” và nhận biết được ai là khách hàng thật.

Tất cả điều này được thực hiện bằng cách xây dựng hồ sơ hành vi (behavioural profile) cho từng người dùng trong khi họ đang hoạt động trên website hoặc ứng dụng, cho phép xác thực liên tục và bảo mật một cách thụ động, gần như vô hình.

Ngân hàng số đã chứng minh là kênh hiệu quả giúp các tổ chức tài chính mở rộng tăng trưởng và thu hút khách hàng mới, nhưng để duy trì lợi thế, họ cần áp dụng những giải pháp thực sự đổi mới, vừa nâng cao bảo mật vừa cải thiện trải nghiệm người dùng.

Sinh trắc học hành vi cho phép ngân hàng nhanh chóng nhận diện khách hàng mới có thực sự là người thật hay không thông qua những mẫu hành vi đáng tin cậy (trusted behaviours), đồng thời tự động điều chỉnh mức độ xác thực cần thiết tùy theo việc người dùng có đáp ứng các đặc điểm hành vi đó hay không.

Juniper Research dự báo rằng năm 2025, các tổ chức tài chính sẽ đầu tư mạnh vào hình thức xác thực thụ động này để chống lại các hành vi gian lận như chiếm đoạt tài khoản (Account Takeover – ATO) hay lừa đảo xã hội (social engineering) — đặc biệt trong môi trường thanh toán tài khoản–tới–tài khoản (A2A), nơi rủi ro gian lận cao hơn.

Do đó, các ngân hàng số và tổ chức tài chính kỹ thuật số được kỳ vọng sẽ tích hợp sinh trắc học hành vi như một lớp phòng thủ mới trong năm 2025, hình thành hệ thống bảo mật đa tầng (multilayered defence) vừa nâng cao khả năng phát hiện gian lận, vừa mang lại trải nghiệm người dùng mượt mà, an toàn và tin cậy hơn.